Кризис DLP-технологий: а был ли мальчик?

Неотъемлемый ручной труд

Мечта любого офицера информационной безопасности – полностью автоматизированная и автономная система DLP. Она настраивается единожды при внедрении и далее работает по принципу закрытого комбайна – выдает готовый результат и не нуждается в обслуживании. На сегодняшний день эта мечта остается мечтой: все детища производителей DLP в той или иной степени "человекозависимы". Наиболее яркий пример – аналитика в DLP. Современные системы предлагают широкий спектр инструментов для анализа перехваченной информации – это и проверка ключевых слов, и цифровые отпечатки, и выявление идентификаторов, и шаблоны данных, и др. Все эти инструменты доведены до совершенства, алгоритмы отлажены. Однако каждый из методов имеет свои нюансы, которые не позволяют системе автономно работать с точностью 100%. В результате необходимо привлекать человека.

При проверке ключевых слов система не понимает контекста, в котором данное слово используется. Например, если мы хотим детектировать слово "бе лка", то системе DLP будет трудно отличить его в таких фразах, как "рыжая бе лка" и "институт белка ". Другая сложность с ключевыми словами заключается в словах-синонимах. С одной стороны, если мы не перечислим все синонимы интересующего нас слова, мы создадим возможность для утечки. С другой стороны, большие списки слов-синонимов неизбежно ведут к значительному числу ложных срабатываний.

Цифровые отпечатки в случаях как с текстовой, так и с графической информацией дают хорошие результаты, когда происходит пересылка достаточно объемного фрагмента большого эталона. Если отправленная часть эталона недостаточна, процент срабатывания будет слишком маленьким, и мы, скорее всего, не заметим утечку. Если мал сам эталон для снятия цифровых отпечатков – ложных срабатываний будет чрезмерно много.

Контроль идентификаторов потенциально снимает большой пласт задачи контроля информации: буквально проставлением "галочек" пользователь выбирает идентификаторы, которые представляют интерес с точки зрения контроля (ФИО, номера пластиковых карт, номера паспортов, номера банковских счетов и др.). К сожалению, многие идентификаторы не обладают механизмом формирования, который помог бы их точно детектировать. В случаях с номерами пластиковых карт, IMEI и номерами ж/д вагонов РЖД все "красиво" – есть специальный алгоритм Ганса Питера Луна, который с высокой точностью позволяет сказать, что перед нами конкретный идентификатор, а не случайный набор цифр. В случае с номером паспорта такой точности добиться сложно – можно лишь задать формат написания (**** серия ****** номер) и перечислить известные серии (как правило, они привязаны к органу выдачи).

Шаблоны данных хорошо работают на достаточно стандартизированном материале. На откуп им можно смело отдавать детектирование различных форм (анкет или заявок), типовых документов и их частей (скан-копий паспортов, факсимильных печатей и подписей). Проблема заключается в том, что зачастую ценность представляет не сама форма (шаблон), а только данные, которые в нее вносятся. И если данные будут в отрыве от шаблона (а это наиболее типично для намеренной утечки информации), то такая технология вряд ли поможет.

Следующим огромным шагом – как по значимости, так и по сложности реализации – для решения обозначенных проблем является создание искусственного интеллекта DLP-системы. Он будет самостоятельно выявлять утечку информации, вобрав в себя все перечисленные методы анализа и коррелируя события, происходящие за определенный промежуток времени. И крупнейшие DLP-вендоры уже не один год занимаются разработкой такой технологии.

Недосягаемые области

Другой угол технологического "тупика" – ограниченность применимости DLP-технологий. Общая задача DLP – контроль информационных потоков. Список каналов, которые контролируют системы, очень обширный – от корпоративной почты до аудиовызовов Skype и интернет-трафика мобильных устройств. Но бывает так, что передача информации сотрудниками компаний выходит за рамки контролируемых системой каналов. Например, информация передается по специальным протоколам, обработана особым алгоритмом, или сотрудники просто-напросто записывают что-то на бумагу, фотографируют экран и пересказывают друг другу голосом.

В данном случае важно не ударяться в параноидальное применение устройств повсеместного контроля и не заставлять производителей DLP-систем превращать их продукты в устройства индивидуального слежения. Достаточно просто сделать так, чтобы у работников компании были более удобные и доступные методы передачи информации, подконтрольные DLP-системе. К примеру, тот же корпоративный мессенджер будет одинаково удобен и с точки зрения быстрого обмена информацией, и с точки зрения контроля передаваемых сообщений.

Человеческое лицо виртуального нарушителя

Если передача информации произошла по подконтрольному системе каналу и инструменты анализа успешно распознали утечку данных, следующим важным шагом становится точное определение реального нарушителя. Несмотря на наличие во многих системах карточек пользователей с привязкой сообщений по конкретным персонам остается риск неправильного указания инсайдера. Логин в операционной системе, электронная цифровая подпись в письмах, IP-адрес отправителя сообщения и т.п. – все эти идентификаторы призваны помочь в определении реального злоумышленника, но они не дают 100% точности. Всегда остается шанс, что пользователь либо потерял свой логин/пароль от компьютера, либо забыл его заблокировать или вовсе с самыми добрыми намерениями разрешил коллеге воспользоваться своей почтой или принтером. В этом случае технологиям DLP-системы, определяющим персону, ничего не остается, кроме как довериться имеющейся информации. Некоторые производители систем пошли дальше и пробовали, например, делать снимок с Web-камеры ноутбука, на котором в данный момент произошла утечка, или интегрировались с системами двухфакторной аутентификации и при обнаружении подозрительной отправки запрашивали подтверждение вторым фактором. Но, как вы сами понимаете, и здесь есть некоторые тонкости.

Синица в руках

Как мы видим, эксплуатация DLP-систем сопряжена с целым рядом сложностей и особенностей, которые необходимо учитывать. Означает ли это, что даже передовые DLP неспособны качественно контролировать информацию? Нет, не означает. Важно правильно подобрать систему с наиболее качественно проработанными технологиями, симбиоз которых даст наилучший результат при выполнении конкретных задач компании по контролю критичной информации. Остается правильно сформировать задачи и рассказать о них интегратору, который по опыту своих проектов предложит одну или несколько систем на выбор.